> ## Documentation Index > Fetch the complete documentation index at: https://wavecnct.com/docs/llms.txt > Use this file to discover all available pages before exploring further. # Sécurité > Pratiques de sécurité, certifications et conformité de Wave Connect ## Aperçu Wave Connect prend la sécurité au sérieux. Nous mettons en œuvre des pratiques de sécurité conformes aux standards du secteur en matière d'infrastructure, de développement applicatif, de gestion des accès et de sécurité des employés pour protéger vos données et celles de votre équipe. Pour plus de détails, visitez [security.wavecnct.com](https://security.wavecnct.com). *** ## Conformité et certifications | Certification | Détails | | --------------------- | ------------------------------------------------------------------------------------------------------- | | **SOC 2 Type II** | Certifié. Rapport disponible sous NDA — contactez [security@wavecnct.com](mailto:security@wavecnct.com) | | **CSA STAR Niveau 1** | Inscrit dans le registre STAR de la Cloud Security Alliance | | **RGPD** | Entièrement conforme. Accord de traitement des données disponible pour les clients Enterprise | | **EU AI Act** | Conforme aux exigences applicables | **Standards de sécurité suivis** (non certifiés, mais alignés) : * OWASP Top 10 * CSA CAIQ * Benchmarks CIS * Pratiques alignées NIST *** ## Infrastructure L'infrastructure de Wave est construite sur des services cloud gérés, fonctionnant selon un modèle de responsabilité partagée avec nos fournisseurs. | Fournisseur | Rôle | | ------------------------- | ----------------------------------------------------------- | | **Google Cloud Platform** | Infrastructure applicative principale, calcul et réseau | | **Vercel** | Livraison frontend et réseau edge | | **PlanetScale** | Base de données (compatible MySQL, distribuée mondialement) | | **Cloud Storage** | Stockage de fichiers et d'actifs | L'infrastructure est conçue pour une haute disponibilité avec basculement automatique. Tous les fournisseurs maintiennent leurs propres certifications de sécurité indépendantes (SOC 2, ISO 27001). *** ## Résidence des données * Les données applicatives des clients sont stockées et traitées aux **États-Unis** * Les données ne sont traitées que dans des régions approuvées * Les clients Enterprise peuvent se renseigner sur les options de résidence des données Une liste complète des sous-traitants est disponible dans notre [Accord de traitement des données](https://www.wavecnct.com/legal/data-privacy-addendum). *** ## Chiffrement **En transit** * TLS 1.3 pour toutes les connexions * HTTPS appliqué sur tous les endpoints * HSTS activé **Au repos** * Chiffrement AES-256 pour toutes les données stockées * Clés de chiffrement gérées par le cloud via Google Cloud KMS * Rotation des clés et contrôles d'accès appliqués via Secret Manager *** ## Gestion des identités et des accès **Options d'authentification** * Authentification unique SAML 2.0 * OpenID Connect (OIDC) * Provisionnement et déprovisionement automatisé SCIM 2.0 **Authentification multifacteur** * Appliquée via votre fournisseur SSO lorsque SAML ou OIDC est activé **Contrôle d'accès basé sur les rôles** | Rôle | Accès | | ------------------ | ----------------------------------------------------------------------------------------------- | | **Propriétaire** | Accès complet au compte, y compris la facturation et la gestion des abonnements | | **Administrateur** | Gérer les utilisateurs, modèles, contacts et paramètres | | **Manager** | Gérer les leads d'équipe et distribuer les modèles, sans paramètres à l'échelle de l'entreprise | | **Membre** | Utilise sa carte de visite numérique assignée et consulte ses propres contacts | | **Observateur** | Accès en lecture seule | **Moindre privilège** * Tous les accès internes suivent le principe du moindre privilège * Revues d'accès trimestrielles effectuées en interne * Déprovisionement automatisé via SCIM lors du départ des utilisateurs *** ## Sécurité des mots de passe * Longueur minimale et exigences de complexité appliquées * Blocage du compte après des tentatives de connexion répétées échouées * Réinitialisation sécurisée du mot de passe via e-mail vérifié * Expiration de session appliquée en cas d'inactivité *** ## Sécurité applicative **Cycle de développement sécurisé** * Modélisation des menaces dans le cadre de la conception des fonctionnalités * Revue de code par les pairs obligatoire et approbation des pull requests avant fusion * Exigences de sécurité revues à chaque version * Processus d'approbation de version dédié **Analyse statique et scanning** * Analyse statique CodeQL sur tous les changements de code * Scanning automatisé des vulnérabilités des dépendances * Scanning des secrets pour prévenir les fuites d'identifiants dans le code **Pratiques de codage sécurisé** * Directives OWASP Top 10 suivies * Validation des entrées et encodage des sorties appliqués * Mises à jour des dépendances appliquées régulièrement *** ## Gestion des vulnérabilités **Scanning** * Scanning continu automatisé des dépendances * Scanning des vulnérabilités de l'infrastructure **Délais de correction** | Sévérité | Délai cible | | -------- | ----------- | | Critique | 24 heures | | Élevée | 7 jours | | Moyenne | 30 jours | | Faible | 90 jours | **Tests de pénétration** * Test de pénétration indépendant par un tiers conduit annuellement * Les résultats sont triés et corrigés selon les délais de sévérité *** ## Surveillance et journalisation **Journaux collectés :** * Événements d'authentification (connexion, déconnexion, tentatives échouées) * Actions administrateur (modifications d'utilisateurs, mises à jour de paramètres) * Activité API * Événements de sécurité **Surveillance** * Surveillance de l'infrastructure cloud 24h/24, 7j/7 via Google Cloud Monitoring * Alertes automatiques sur les anomalies et événements de sécurité * Détection des connexions suspectes *** ## Réponse aux incidents Wave maintient un Plan de réponse aux incidents formel couvrant : * **Classification de sévérité** : Critique, Élevée, Moyenne, Faible * **Processus d'investigation** : confinement, analyse et préservation des preuves * **Analyse des causes profondes** : revue post-incident pour tous les événements significatifs * **Notification des clients** : les clients affectés sont notifiés rapidement conformément aux exigences réglementaires * **Notification réglementaire** : notifications de violation RGPD dans les 72 heures le cas échéant * **Post-mortems** : documentés et revus en interne après les incidents majeurs Pour signaler une vulnérabilité de sécurité, contactez [security@wavecnct.com](mailto:security@wavecnct.com). *** ## Continuité d'activité et sauvegardes **Objectifs de récupération** * RTO (Objectif de temps de récupération) : 4 heures * RPO (Objectif de point de récupération) : 1 heure **Plan de continuité d'activité** * BCP formel en place et testé semestriellement * Plan de reprise d'activité testé régulièrement **Sauvegardes** * Sauvegardes automatisées quotidiennes * Sauvegardes chiffrées au repos * Tests de restauration effectués régulièrement * Rétention des sauvegardes alignée sur les politiques de classification des données *** ## Disponibilité * Architecture haute disponibilité avec basculement automatique * Page de statut disponible sur [status.wavecnct.com](https://status.wavecnct.com) * SLA disponible pour les clients Enterprise *** ## Sécurité réseau * Google Cloud Firewall et Cloud Armor * Mitigation DDoS au niveau réseau et applicatif * Limitation de débit sur tous les endpoints API * Protections alignées OWASP (injection, XSS, CSRF) * Systèmes de détection et prévention des intrusions (IDS/IPS) *** ## Sécurité des terminaux Tous les appareils des employés sont soumis à : * Chiffrement complet du disque * Politique d'appareils gérés par l'entreprise * Antivirus et protection des terminaux * Mises à jour automatiques du système d'exploitation et de sécurité * Application du verrouillage d'écran * Exigences minimales d'appareil pour l'accès à distance *** ## Sécurité physique Wave est une entreprise entièrement en télétravail. Il n'y a pas de centres de données sur site. La sécurité physique de l'infrastructure est gérée par Google Cloud, dont les centres de données sont indépendamment certifiés ISO 27001, SOC 2 et autres standards. Les employés suivent des exigences de bureau à domicile sécurisé et les appareils sont mis hors service de manière sécurisée en fin de vie. *** ## Sécurité des employés * Vérifications des antécédents pour tous les employés * Formation à la sensibilisation à la sécurité lors de l'intégration * Formation trimestrielle à la sécurité et à la confidentialité * Politique d'utilisation acceptable signée par tous les employés * Accords de confidentialité en place *** ## Sécurité des fournisseurs Wave maintient un Programme de gestion des risques fournisseurs. Les prestataires tiers sont évalués avant l'intégration selon leur posture de sécurité (rapports SOC 2, questionnaires de sécurité et évaluations fournisseurs). **Principaux sous-traitants** | Fournisseur | Objectif | | ------------ | ---------------------------- | | Google Cloud | Infrastructure et calcul | | Vercel | Frontend et livraison edge | | PlanetScale | Base de données | | Twilio | Communications SMS | | Stripe | Traitement des paiements | | Shopify | E-commerce | | Zendesk | Support client | | Microsoft | Productivité et intégrations | | MaxMind | Géolocalisation IP | Liste complète des sous-traitants disponible dans notre [Accord de traitement des données](https://www.wavecnct.com/legal/data-privacy-addendum). *** ## Sécurité IA Wave utilise l'IA dans les fonctionnalités suivantes : * **Scanner universel de badges** : OCR pour extraire les coordonnées des cartes de visite et badges d'événements * **Enrichissement des contacts** : complétion des champs de profil manquants à partir de sources publiques * **Modération de contenu** : détection du contenu violant les politiques sur les profils **Points clés :** * Les données des clients ne sont **pas** utilisées pour entraîner des modèles IA * Les fonctionnalités IA peuvent être désactivées le cas échéant * Les fournisseurs IA sont divulgués dans notre liste de sous-traitants *** ## Classification des données | Classification | Description | | ------------------ | ---------------------------------------------------------------------- | | **Publique** | Contenu marketing, documentation publique | | **Interne** | Données opérationnelles, communications internes | | **Confidentielle** | Données clients, données commerciales, configurations de sécurité | | **Restreinte** | Identifiants d'authentification, clés de chiffrement, journaux d'audit | *** ## Protection des données * Isolation logique des tenants : les données de chaque organisation sont séparées au niveau applicatif et de la base de données * Le contrôle d'accès basé sur les rôles empêche les accès inter-tenants * Journalisation d'audit pour toutes les opérations sensibles * Principes de minimisation des données appliqués à la collecte *** ## Fonctionnalités de sécurité Enterprise Authentifiez les utilisateurs via votre fournisseur d'identité en SAML 2.0 ou OIDC. Automatisez le provisionnement, le déprovisionement et la correspondance d'équipes. Utilisez votre propre domaine pour les profils Wave et les liens de partage.